网络伺服系统范文(精选12篇)
网络伺服系统 第1篇
在网络控制系统中,当节点故障或信息冲突时会发生丢包现象[1,2]。目前,对于具有数据包丢失的NCS的研究已经取得了一些成果。文献[3]将具有任意有界丢包的NCS建模成切换系统,研究了系统的稳定性问题,并给出了控制器的设计方法;文献[4]将网络视为不可靠的数据传输通道,把存在数据包丢失的NCS建模为异步动力学系统,给出了一个稳定性定理;文献[5]研究了丢包网络下最优LQG控制问题;文献[6]研究了基于观测器的丢包网络控制系统控制器设计;文献[7]研究了具有时延和丢包的网络控制系统H∞状态反馈控制;等等。
本文对于网络伺服系统中控制器和执行器之间网络存在数据丢包的情况,提出了一类新的丢包网络伺服系统模型;基于预测函数控制[8]设计了预测函数控制产生器和数据包预测补偿器,并研究了相应的补偿策略,来减小数据包丢失对控制系统性能的影响。
2 一类网络伺服系统模型
考虑一类网络伺服电机控制系统通用模型:
假设控制器和执行器传输网络存在丢包,其丢包模型以随机二值变量α(k)∈{0,1}描述,0表示丢包,1表示收到数据,假设最大连续丢包数为P。目前有“零输入”和“保持输入”两种常用的丢包补偿策略。
当系统采用“零输入”丢包补偿策略[9]时,其模型为:
当系统采用“保持输入”丢包补偿策略[10]时,其模型为:
本文提出一类新的丢包网络伺服系统模型(图1),利用预测函数控制产生P步输入预测控制值,并在执行器前端设置“丢包补偿器”,存储接受到的P步预测输入值,选择相应的“预测输入”丢包补偿策略进行控制。详见3.2。
3 丢包网络预测函数控制
3.1 预测函数控制算法
预测函数控制是在预测控制原理的基础上发展起来的,在保持模型预测控制优点的同时,还使得所产生的控制输入更具规律性,并且可有效地减少计算工作量,从而适应了快变过程对控制算法速度的要求。
(一)基函数
预测函数控制量可表示为若干已知基函数fn(n=1,L,n)的线性组合:
fn(i)表示基函数fn在t=iTs(sT为系统采样周期)时的值;p为预测优化时域长度;µ为线性组合系数。
基函数的选取依赖于控制对象的性质和参考轨迹的要求,可取阶跃、斜坡、指数函数等。对于已选定的基函数fn,可离线计算在其作用下对象的输出响应gn(i)。
(二)预测模型
确定预测模型,由系统输入量可算得其预测输出。模型预测值ym(k+i)由模型自由输出y l(k+i)和模型函数输出yf(k+i)两部分组成:
k时刻模型自由输出是指未考虑该时刻新加入的控制作用前的输出预测值。
模型函数输出
表示在k时刻起加入控制作用u(k+i)后新增加的模型输出。
(三)参考轨迹
参考轨迹是要求模型输入值最终趋近于设定值的轨迹。对于渐进稳定系统,参考轨迹通常取一阶指数形式。
c(k)为设定值,y(k)为k时刻模型输出预测值;β=e-Ts/Tr,sT为采样周期,rT为参考轨迹上升时间。β越小,则参考轨迹越能更快趋近设定值。
(四)反馈校正
由于模型失配、噪声等因素的影响,模型输出与系统输出之间存在误差。在预测函数控制中,对该误差由一个预测器对未来时域中的误差值进行预测,并作为前馈量记入参考轨迹中加以补偿。
y(k)为系统实际输出。经过补偿之后的预测输出为:
(五)滚动优化
滚动优化的目的是寻找系数µn(n=1,2,LN),使在整个优化时域内的预测输出尽可能接近参考轨迹。优化性能指标一般取为
这是一个对加权系数µn(n=1,2,L,N-1,N)的参数优化问题,即求使预测值与参考值误差平方最小时的µn。得到µn后即可算出u(k+i)i=0,1,L,P-1。这一优化过程将以滚动方式在线进行。
3.2 丢包预测补偿策略
预测函数控制算法每一时刻求取P步控制值。除了u(k)作为新加入的控制量外,其余各量叠加到对未来控制量的已知假设上,作为下一时刻预测模型自由输出的基础。
为了减小网络丢包对控制系统性能的影响,本文提出基于预测函数控制的丢包补偿模型,其结构如图1所示。主要包括预测函数控制器和丢包预测补偿器两部分。
(一)预测函数控制器
位于控制器端,在k时刻接收到传感器信号后,利用预测函数控制算法,产生P步控制信号,记为uˆ(k+i|k),i=0,1,LP-1。将这些信号打包传送到执行器端(被控对象前端)的丢包预测补偿器缓存区中。
(二)丢包预测补偿器
位于执行器端,用于补偿网络丢包对系统性能的影响。它从预测函数控制器端接收最新的控制序列,存入缓存区中,按一定策略选择实际控制量。其选取策略为:
(1)假设k时刻数据包到达执行器端,则取为实际控制信号。
(2)若k+1时刻数据包到达执行器端,则取u(k+1)=ˆu(k+1|k+1)为实际控制信号;若k+1时刻数据包丢失,则取u(k)=ˆu(k+1|k)为实际控制信号。
(3)若k+2时刻数据包到达执行器端,则取为实际控制信号;若k+2时刻数据包丢失,但k+1时刻数据包到达,则取为实际控制信号;若k+2和k+1时刻数据包都丢失,则取为实际控制信号。往后依此类推。
通过此策略,在每一时刻系统选择的实际控制量都是传感器端所能提供的最新控制信号或最优的预测控制信号,从而使网络丢包对系统性能的影响降到最小。
4 仿真实验
为了更好地模拟网络伺服系统的丢包问题,本文建立了基于O P C服务的网络伺服系统仿真实验平台。利用Matlab中的OPC Read模块和OPC Write模块进行网络传输数据读写。控制器处于客户端,完成预测函数控制器功能,网络伺服系统模型处于服务器端,通过丢包预测补偿策略对伺服电机进行控制。具体仿真平台架构如图2所示。
选定某网络伺服电机模型参数为
采样周期为Ts=0.005,在预测函数控制器中,取基函数为单位阶跃函数(N=1)。参考轨迹时间常数Tr=0.05s,预测优化时域长度P=5。
当网络丢包率分别为10%和20%时,系统仿真曲线如图3所示。细线表示控制器采用常规PID控制器,“保持输入”丢包补偿下系统输出;粗线表示控制器采用预测函数控制器,丢包预测补偿下系统输出。
由仿真结果可见,随着丢包率的增加,系统的控制性能将下降,本文提出的基于预测函数控制器的数据包预测补偿策略能有效的减小这种影响,使系统在较大丢包率下仍能达到期望的控制性能。
5 结束语
本文针对一类网络伺服系统中存在的丢包问题进行了分析,提出了一类新的丢包网络伺服系统模型。对预测函数控制算法进行了分析,并设计了基于预测函数控制器的数据包预测补偿策略。最后利用M a t l a b中OPC服务搭建了网络伺服系统平台,控制仿真实验表明了本文算法的有效性。
摘要:本文针对一类网络伺服控制系统中存在的丢包问题进行了研究。对于网络伺服系统中控制器和执行器之间网络存在数据丢包的情况,提出了一类新的丢包网络伺服系统模型。在此模型下,对预测函数控制算法进行分析,设计了预测函数控制产生器和数据包预测补偿器,并研究了相应的补偿策略。对某网络伺服系统的仿真实验表明了本文算法的合理性和有效性。
关键词:网络伺服系统,预测控制,数据包预测补偿
参考文献
[1]李洪波,孙增圻,孙富春.网络控制系统的发展现状及展望[J].控制理论与应用,2010,27(2):238-243.
[2]J.BAILLIEUAL AND PANOS J.ANTSAKLIS.Control and communication challenges in networked real-time system.Proc[C].IEEE,95,(1),2007.
[3]YU M,WANG L,CHU T,et al.Stabilization of networked control systems with data packet dropout and network delays via switching system approach[C].The43rd IEEE Confon Decision and Control.Atlantis,2004:3539-3544.
[4]ZHANG W,BRANICKY M S,PHILLIPS S M.Stability of networked control systems[J].IEEE Control Systems Magazine,2001,21(1):84-99.
[5]VIJAY GUPTA,BABAK HASSIBI,RICHARD M.MURRAY.Optimal LQG control across packet-dropping links[J].Systems&Control Letters.2007,(56):439-446.
[6]ZONG QUN,WANG HE.Controller design based on observer to data packet dropout in networked control systems[J].Systems Engineering and Electronics.Fed.2007,(29):259-261.
[7]XIE DE XIAO,HAN XIAO DONG,HUANG HE.H∞state feedback control for networked control system with time delay and packet dropout[J].Control and Decision.Apr.2009,(24):587-592.
[8]WANG ZHUFENG,JIANG JING PING,LI LI CHUN.Research on predictive functional control of long delay networked control systems[J].Chinese Journal of Sci-entific Instrument.2008,29:1007-1010.
[9]J.-P.RICHARD.Time-delay systems:An over-view of some recent advances and open problems[J].Automatica.2003,(39):1667-1694,2003.
网络购物系统论文 第2篇
关键词:网络购物;购物动机
随着我国网络购物的迅速发展,消费者去网店购物的动机也在不断地发生变化,据最新的调查显示:服装、鞋帽、箱包、户外用品成为中国网购用户最常购买的商品,占比39.6%;其次是手机话费充值,占11.8%;通讯产品类所占比例最低,为2.1%。有研究表明,便利性和节省时间是消费者选择网购的主要原因(Morganosky,)。还有的研究表明,消费者在网上购物不仅仅是为了购买商品,也是为了满足情感的需要,以及享乐价值的实现(Kim & Shim,2002)。不同的购买动机将会产生不同的购买行为,所以厘清网络购物动机的类型变得尤为重要。本文将主要分析网络购物动机的类型。
一、网络购物动机的定义
网络购物是指消费者在网络商店进行购买商品的行为和过程。而购物动机是消费者产生购物愿望,执行购物行为的内在驱动力,决定了整个购买活动的产生和结果,在整个购物流程中起着最原始的推动作用。结合网络购物和购物动机可知,网络购物动机是在网络购物活动中,促使网络消费者产生购物行为的内在驱动力。消费者为什么会购物,为什么会购买此物而非比物,这与消费者的购买动机有着紧密的联系。我们通常可以直观地观察到消费者的购物行为,但隐藏在其中的购物动机却值得深入的研究,这也有助于企业制定良好的营销策略。
二、网络购物动机的产生
从根本上说,消费者购物动机是由消费者未被满足的需求所推动的。美国社会心理学家马斯洛率先提出“人的动机源自于需求”,并且把人的需求划分为五个层次:生理需求、安全需求、交往需求、尊重需求、自我实现的需求。五种层次需求是一个人最基本的需求,是人之所以为人所必然产生的需求。
由马洛斯的需求理论可以总结出人们在生活中往往存在着两种未被满足的需求。一种是实用主义的需求,更多的是人们客观上的需求,反应出人的自然属性。对此,人们往往会更加考虑这种产品的功能性,能满足消费者自身的功能需要。另一种是享乐性需求,是在人们的功能需要被满足以后,人们心理所产生的享乐型的需要,人们往往更多的考虑产品所带来的享乐舒适性,反映人的社会属性。这两种需求不是割裂的,而往往是相互联系的。人们在购买商品时,基本考虑是功能性需求,但同时也会考虑享乐型需求,二者共同决定了产品的选择。
人们内心存在的这种未被满足的需求会使人们内心产生一种动力,一种想满足需求的力量和反应,这种力量连接着人们的需求状态和实然状态,促使着人们针对需求做出反应。有了这种力量,再加上人们的学习会促使动机的产生,有了动机以后,心理产生愿望,形成一个目标,并付诸努力,最终产生一个行动结果。
三、网络购物动机的分类
从不同的视角来看,网络购物动机可以分为不同的类型,下面将从六个方面介绍购物动机的类型。
1、内在动机和外在动机
在外在动机引导下,消费者会以满足某种需要为目的,以目标任务为最终目的,而购买行为则是完成此目标的关键。当人们的购物行为满足了需求,购物行为即告结束。比如,消费者在工作中需要一部手机,那么他会以买到一部手机为最终的目的,一旦这个目标任务完成,那么购物行为也就结束了。内在动机是以消费行为为最终目的的动机,人们不是为了要买什么而去买什么,而是享受购物行为本身给消费者带来的享受过程。比如,我们经常看见手拉着手的女性朋友们在超市里闲逛,很多情况下,其实她们并非一定需要什么,必须要买什么来满足自己的需求,相反,她们更多的是享受购物的过程,享受消费行为所带来的满足感。
2、生理动机和心理动机
生理购物动机是由生理需求所引起的,具有经常性,反复性和习惯性特点。这与内在动机有些类似,比如基于生理上需要,人们会购买生活用品。生理上的需求刺激人们会经常性的,反复性,习惯性的购买物品。心理上的动机则是基于心理上的需求而引起的购买动机,具有深刻,隐匿,多样化的特点。这与外在动机也有一些相同的地方,这是由心理作用、心理上的满足欲望刺激产生购买动力。比如,有些人们买衣服的时候会选择名牌,高档产品,借以满足心理上的成就满足感,其实这些高档商品并不能满足人们的日常生活需要,仅仅带来心理上的满足,这些心理动机隐藏在内心深处,并且随时都可能发生变化。
3、理性动机和情感动机
理性动机是指购买者依据理性的思维、客观的标准来选择购买商品。购买者在理性的指导下,会仔细挑选商品的规格,大小,外观,货比三家等,最后做出购买的决策与商品的选择。人们会随着年龄的增长逐渐成熟,理性的思考也会逐渐增多,相对来说,年长者在购买商品的时候会思考的更久,想得更多,检查更仔细,对比的更多,会更多的考虑商品的实用性。与之相反,情感动机则是指购买者在购物时,是在感性的思维指导下,凭借个人喜好,主观感觉做出的购买行为。每个人都有自己所喜好的品牌、产品、风格,同时也会对另一些产品抱有主观的抵触。相对而言,年轻人在购物的过程中,感性的思维较多,往往购买自己喜欢的品牌,如颜色、款式等。
4、直接动机和间接动机
直接动机是指消费者购物活动的直接推动力是由购买行为本身的性质。消费者因为需要某种产品而去购买此产品,如消费者需要一支笔而去买了一支笔。间接动机是指消费者的购买行为是由于消费者知道此购买行为会带来其他积极的影响,而不是购买活动本身。如在绿色环保的大力倡导下,某些消费者在购物时会选择购买木质或布口袋,而不要传统的塑料口袋,这是由于消费者对此购买行为所带来的其他积极影响持积极的态度。
5、实用动机和享乐动机
Childers等人(2002)把网络购物动机分为了实用型动机和享乐型动机。这与Babin等人(1994)把消费者购物动机划分为任务动机和享乐动机实质上是相同的。实用动机更多注重于产品所带来的实用功能,这与生理心理分类其实也很相似。消费者是因为衣服能穿才会购买衣服,产品的实用性是基础的动因。享乐动机则注重产品的舒适性,外观美感,考虑产品给自己带来的享受。
6、人际动机和个人动机
人际动机往往是由潮流所带动,大众化的趋势使得购物者想方设法融入潮流当中。领头羊的心理实际上是受到了人际关系的影响。个人动机更多地考虑自己因素,而不是社会潮流趋势,个性化的心理使人们追求精致的生活、独特的感受。
需要说明的是,网络消费者在购物过程中,并不是只受一种动机影响,往往是多种心理动机共同作用的结果。在购物过程中,许多需求都是要考虑的,既要看产品的实用性,又要追求享乐,既要融入潮流,又要追求个性。(作者单位:吉林大学商学院)
参考文献:
[1] Babin,B.J.and W.R.Darden,et al.Work and/or fun:measuring hedonic and utilitarian shopping value[J].Journal of consumer research.2008.20(4):644-656.
[2] Childers,T.L.and C.L.Carr,et al.Hedonic and utilitarian motivations for online retail shopping behavior[J].Journal of retailing.2002.77(4):511-535.
[3] Kim,Y.M.and K.Y.Shim.The influence of intent shopping mall characteristics and user traits on purchase intent[J].Iris Marketing Review.2002.15:25-34.
[4] Morganosky.M.A and B.J.Cude.Consumer response to online grocery shopping[J].International Journal of Retail and Distribution Management.2002.28(1):17-26.
[5] 韩小红.网络消费者行为[M].西安:西安交通大学出版社.2008.(3):4-5.
探讨网络营销的推荐系统及检索系统 第3篇
【关键词】信息检索系统;推荐系统;网络营销;网上销售
眼下越来越多的商家为了节约营销成本和库存成本,利用相关的信息技术选择在上进行销售,顾客也能得到更广泛的商品选择。传统意义上的店铺由于店面空间有限,不能与网络店面的商品数量相比。如一家实体书店与当当网比较,大型书店一年的营业额约在1200万元,除去租金、税收、水电、人力等成本,最后可能还会有亏损。根据一组数据调查显示:2009年当当网新增用户超过1000万,每日处理订单超过10万单,每日快递商品数达30~40万件,占到了整个图书市场份额的10%左右。另外,网络提供的在线阅读及免费下载等方式,也进一步分流了实体书店的顾客,这种发展趋势不仅对数字化产品有着重要的意义,而且对有形产品也同样适用。
如何借助于检索和推荐系统,让顾客在众多的商品品种中,准确地找到自己所需要的商品是网络营销亟需解决的问题。因此,对于网络营销来说,检索和推荐系统是非常重要的。所谓检索系统是顾客按照目标商品的关键词搜索商品,而推荐系统就是根据个人喜好,依据相关数据计算后向顾客推荐商品。网上店铺可以选择搜索系统,依靠搜索成本较低的优势增加销售,增长利润;也可以用推荐系统,在热销产品被顾客抢购的同时,带动利基产品的销售,边际收益较低的产品销量增加,同样也是利润的增加。本文就信息检索系统和个性化推荐系统对网上销售带来的影响进行了讨论。
一、检索系统及推荐系统的概述
1.检索系统概述。检索系统在为顾客获得需求信息带来方便的同时也能降低商品的搜索成本,热门的商品总是能被轻易搜到并且得到很多选择对象,各种排行榜和推荐系统也大大降低了热门商品的搜索成本,但相比起来,利基产品的降幅更加明显。在饱和市场中顾客和利基商品的获利,大于不饱和市场中,各种商品及商品的供需双方利用检索系统获得的利益。所以,商品所在市场的状态不同,由搜索成本的降低所带来的盈利程度也不同,商品提供商在从事网上销售时,要对商品特征、商品市场状态以及商品品种的规模等进行认真分析,正确利用相应的信息检索技术,在满足消费者需求和降低顾客搜索成本的同时来获利。
2.推荐系统概述。推荐系统就是根据顾客个人的喜好、历史浏览商品的习惯向其推荐商品的程序。顾客习惯于借助搜索引擎来寻找目标商品,情况大多分为两种:一是顾客用了一大堆的关键字词来搜索自己的需要,结果由于搜索系统的过分排除,仅提供极少符合的商品或无任何检索结果;二是顾客用很少的关键字来描述自己的需要,结果不得不在罗列出来的范围很广的一长串列表中逐个查找。所以,需要构建一个推荐系统能揣摩顾客的心意,记录顾客所喜欢的,然后自动为顾客筛选出与喜欢目标相匹配的商品,过滤掉那些顾客无意向选择的商品。推荐系统的目的就是分析顾客的消费偏好,进而在帮助顾客选择商品的同时提高顾客购买过程的满意度。因此,如何做到在庞大的商品目录中针对性地推荐商品,选择性地排出顾客需要的商品是推荐系统的关键。
二、系统对网络销售的影响
在当今市场环境下,传统的销售模式极大地限制了销售行业的整体发展,销售模式的网络化发展必将会对传统销售行业的销售渠道产生重大影响。眼下各类电子商务网站与用户数目不断增加,通过各类电子商务网站销售的商品种类,只有想不到的,没有卖不了的,并且每日浏览这些电子商务网站的用户所投入的时间也逐渐增多。各类电子商务网站通过分享、转载、邀请、邮件等形式的广告手段,也使得浏览群逐渐扩大。如何将更多的潜在用户从浏览者变为购买者,并确保自己可以提供足够多种类的商品促使他们留下来,让用户面对众多选择的同时准确挑选出自己所需,成为电子商务网站在进行客户关系管理中遇到的挑战,也是在适应新的竞争环境中成败的关键。
传统的销售模式中,顾客为了获得商品较全面的信息,会花费较多的时间和精力在不同的商店中进行比较。而网络销售的最大优势在于可以异地经济地获得海量信息进行商品选择,从而节约了时间成本。假设一个北京游客到桂林旅游,想要购买桂林特产送给亲友,可直接在网上交付成功后由实体店直接下单给当地物流公司,既省去了游客挑选商品时间,也无需自行带给亲友,节约了精力。网上销售具有传播范围广、无时间地域限制、速度快、双向交流等优势,商家还可以提供更多的商品品种,既满足了不同的购买需求,减少了库存成本,也大大减少了购买者的搜索成本。
一般的搜索系统,就是顾客输入一个或若干个关键字,然后计算出与关键字具有高相似度的其它关键字,再根据相关度由大到小的顺序罗列出商品供顾客选择。如果某个顾客多次购买一种商品,那么他可能会对这个商品的同类商品持续关注。这种从商品内在特点来推荐目标的方法包含很广,这个特点可以是商品本身的名称,也可以是它的属性,如类别、出厂厂家、适合赠送的年龄段等信息。检索系统不能随意性太大,需要略去一些辅助性的词汇,提取出关键字,然后根据各关键字出现的频率来查找相关程度,因为名字的相关性很难保证其内容的相关性。为了使用户搜索的结果更准确,检索系统还可以与搜索提示、搜索推荐等附加功能相结合。
三、推荐系统对网络销售的影响
有时顾客很难借助于搜索引擎用几个简短的关键字来描述自己的需要,结果不得不在罗列出来的范围很广的一长串列表中逐个查找或者得不到任何搜索结果。利用推荐系统分析顾客的消费偏好,然后借助于畅销排行榜、口碑和广告等营销手段向每个顾客具有针对性地推荐产品,不仅帮助顾客从庞大的商品目录中挑选出自己所需,也提高了顾客对商务活动的满意度,换来对商务网站的进一步支持。一般说来,推荐系统在电子商务活动中的作用可以归纳为以下几点:
1.帮助顾客检索有用信息。对于只是四处看看,购物目标不明确或者没有购买欲的顾客,是很难有耐心在众多商品中逐项查找有没有感兴趣的商品。而推荐系统通过针对性的推荐,更大可能性地可以将一个浏览者变为购买者。
2.促进销售。当顾客结账时,根据购物车中已有的商品进行同类型商品推荐,可以促进交叉销售和向上销售,也可能提供给消费者正追求的更好的商品。还可采用的促销方式有:捆绑销售、限时折价、包邮等。
3.个性化的服务。个性化服务是根据顾客的兴趣、习惯、购买历史,或者顾客之间的关联性等动态化地为顾客定制个性化推荐,向顾客推荐商品。
4.提高客户忠诚度。顾客觉得自己的消费倾向越多地被了解,使用推荐系统也就越频繁。适合顾客需要的推荐系统才能将更多的顾客吸引到自己的网站。另一个必不可少的就是在线客服,在线客服除了能帮助顾客解疑商品上的问题外,还包括售后问题,物流问题及其它帮助。保持与顾客之间的随时沟通,并且让顾客对所选商品有着详细的了解是网络销售成功的关键。
四、结论
推荐结果要有准确性,总是向顾客推荐其不感兴趣的商品只会导致顾客觉得无趣而转向其他网站,并且推荐范围应尽可能大地覆盖顾客实际的兴趣范围。最简单的一种方法就是根据统计数据,如销量排行、收藏数量等,以店主推荐的排名形式时常更新,或定期推出专题,汇集一系列围绕某主题的商品放在网页的醒目位置。尽可能让顾客关注那些销售形势非常好的商品对于新来的访问者相当有效。既能体现有不少顾客在本网站购买商品并持续关注,又能给新顾客一个参考方向。
另外,购买者在购买商品后对商品的正面评价,也能增强其他对此商品有购买欲的顾客的购买信心。在饱和市场中,如果所销售的商品是垄断产品,消费者由于财力、时间或需求等限制,就会转向替代商品。所以,信息查询系统不方便不会带来消费增长,而是更多的替代商品销量增加。在未饱和的市场中,顾客可以将检索和推荐系统相结合,更容易发现自己所需,进而出现替代效应;另一方面由于搜索成本的降低,顾客可以找到更多的购买目标从而导致消费的增加。另外,方便、智能的查询和推荐系统,会使那些“冷门”商品容易被发现。
除了前面提到的“人工式推荐系统”,还有一种比较复杂的“自助式推荐系统”。如果具备一定的技术和资金支持,可考虑设计一种针对每一顾客的个性化推荐系统。充分地考虑每位顾客的兴趣爱好,或者在顾客的购买历史或搜索信息中动态地产生推荐结果。而顾客在搜索的同时,自助式推荐系统又能毫不冲突地推荐更多类似商品,甚至有所扩展,系统能综合多种推荐方法,互补长短。另外,协作筛选也是一种不错的方法。兴趣相近的顾客可能会对同样的东西感兴趣。所以,分析出具有相同喜好和相同浏览历史的顾客,就可根据相似顾客的意见来向其进行推荐。只需将"浏览了该商品的顾客还浏览过以下商品"的版块放置在顾客正在浏览的商品页面的最下方即可。另一种可能的出发点是,可以根据顾客对各种商品的评价来判断商品之间的相似程度,然后推荐与顾客兴趣最接近的那些商品。例如在主页面添加"您最近浏览过的商品“以及”您还可能喜欢同类型的商品"两个版块,进行顾客喜好的深度挖掘。
参 考 文 献
[1] 周惠虹,柳益君,张尉青,谢俊元.推荐技术在电子商务中的运用综述[J].计算机应用研究,2004(1):8-12.
[2] 岳讯.基于矩阵聚类的电子商务网站个性化推荐系统[J].小型微型计算机系统,2003(11):1922~1926
探究轨道交通网络信息系统网络规划 第4篇
为适应城市轨道交通网络化运营发展, 需要建设轨道交通信息化网络。本研究旨在为城市轨道交通信息化网络的建设与发展提供基本指导, 为轨道交通信息化建设步入有序、集约、高效和可持续的发展轨道提供一套有关信息化网络建设的基本建议和规划。
1 轨道交通网络信息系统规划目标
信息化网络是支撑所有信息化应用系统以及各专业网管的平台, 信息化网络的远景目标是建立轨道交通内部IT网络组成的独立统一的网络平台, 承载所有应用系统和各专业网管系统, 按需实现应用平台所涵盖的各应用系统之间的可控互联。
为了消除信息孤岛、提高信息共享、控制和节减建设投资、提高信息自动化处理水平、建设统一标准和接口, 并为系统兼容性和可扩展性提出基本设计指导思想, 信息化网络规划的主要目标是围绕信息系统的总体框架和信息资源规划中关于信息的利用、数据计算、存储和分布、服务提供等要求, 提出信息网络的主干网、子网、IDC、各主要汇聚点的规划, 以满足信息系统建设、实施、运维, 服务、信息资源集聚与共享应用拓展、IDC基础建设等方面对信息网络设施的需求。
2 轨道交通网络信息系统规划原则
本规划用于指导信息化网络新建工程设计, 以及现有网络改扩建设计。信息化网络应按照应用、数据集中的原则和安全保障的原则进行规划, 同时必须满足高实用性、先进性、开放性、可靠性、高效性、安全性、可扩展性、可管理性和前瞻性。
3 轨道交通网络信息系统网络规划内容
本规划主要涉及两方面内容:一是轨道交通业务需求分析; 二是信息化网络的逻辑设计。主要工作可分为四个部分:用户业务需求分析;逻辑网络拓扑设计;网络管理和安全管理以及网络基本设备选型等其他工作。
4 轨道交通网络信息系统网络规划需求分析
为了实现该网络化运营系统, 其中的基础网络平台的建设是关键之一, 尤其是密切相关的信息化网络的设计和建设, 将直接影响网络化运营系统的性能和效能。因此在信息化网络规划和设计过程中透彻地调研和分析业务需求就显得格外重要。分析研究轨道交通各生产系统及应用系统, 通过各主要单位现有网络应用系统和相关网络硬件设备的调研, 目前在信息化网络建设方面还处于起步阶段。还没有建成统一的OA办公平台和其它一些重要应用平台, 导致在信息数据共享方面方面和有效利用方面存在不足。为了克服这个问题, 有必要在轨道交通范围内建设一个完善的信息化网络和用于保存和共享数据的数据中心。
5 轨道交通网络信息系统网络规划要点
城市轨道交通信息网络系统, 应该建立一个连接全市各站点的大型的城域网, 从物理基础上确保各支撑平台及应用系统的运行, 形成一整套完善的架构体系, 保证数据的安全性, 为各种应用提供良好的网络转发基础。网络系统建设要点如下。
5.1 有线业务网
作为城市轨道交通主要业务的承载网络, 必须能够提供高可靠、高安全的网络基础平台, 为各种应用提供有效的网络支持, 并保证各种设备的兼容性, 提高网络的健壮性支撑投资比例, 降低总体CTO。有线业务网主要由核心交换机、汇聚交换机、接入交换机、数据中心设备、网管系统, 以及出口路由设备等共同组成。
5.2 网络安全
网络安全是保证网络高可靠运行的基础, 除了采用安全设备进行安全加固之外, 还需要网络设备提供足够的安全防护措施。在出口设备上融合防火墙、IPS插卡及ACG插卡, 实现内部网络和互联网L2-L7的安全防护, 并对用户的应用行为进行实时检查。在核心交换机中部署防火墙插件, 利用虚拟防火墙技术保证内网网络各汇聚交换机之间的安全隔离, 将内部威胁减小到最小。在终端PC上部署终端准入系统, 进行认证接入、安全审计、动态授权等安全检查和权限控制, 防止“病从口入”。
5.3 无线网络
作为对有线网络的补充, 无线网络因其便利和快捷得到广泛应用。无线网络设计采用Fit组网模式, 以无线控制器作为整个无线网络的管理核心, 采用基于802. 11n传输协议且支持MIMO技术的AP作为无线接入点, 提高了无线传输质量, 也使传输速率得到极大提升。在无线安全方面, 可以结合802.1X与终端准入系统, 控制合法人员的接入。
5.4 网络可靠性
可靠性包括网络节点和网络链路二方面。采用双链路冗余方式互联, 同时使用端口聚合技术, 不仅形成流量负载分担, 而且实现了链路冗余。2台核心设备使用无源背板, 且配冗余引擎、冗余电源, 并且采用虚拟化技术保证切换时间为毫秒级, 将多台设备简化为一台设备进行管理。简化了网络的复杂度, 提高了网络的可靠性。
5.5 网络部署
主要包括:IP地址规划、Mpls、VPN设计、VLAN设计和QoS部署。IP地址的规划既要考虑当前现状, 又要考虑日后扩展。大型局域网组建中, VLAN技术是不可缺少的关键技术, 科学的VLAN设计可以为局域网络带来一系列的优点。QoS部署则是通过QoS技术保证网络中的关键业务优先处理, 避免被非关键业务挤占。
5.6 网络管理
支持基于Web的远程访问和日志的智能归并, 并提供网络管理的基本功能, 包括:拓扑管理、性能管理、告警管理、网元管理、安全管理、配置管理等。
6 轨道交通网络信息系统网络规划安全设计原则
6.1 性价比平衡原则
任何网络的安全都是以投资为代价, 网络安全级别的提升往往伴随投资的增加。城市轨道交通信息网络安全设计必须考虑性价比, 要对城市轨道交通信息网络面临的威胁及可能承担的风险进行定性和定量的分析, 制定相应的安全措施, 确定相应的安全策略、保护方式及保护代价, 做到性价比平衡。
6.2 整体规划, 分步实施的原则
根据建设经验来看, 各线工程的信息网络的设计范围基本为本线, 没有进行线网信息网络的整体规划, 尤其是新建轨道交通的城市, 没有建设经验, 更没有线网统一规划, 资源共享的意识, 往往出现某工程建设的信息网络、设置的应用系统等单独考虑自己线路的网络结构、冗余配置、安全工具、安全措施等, 缺乏站在线网的高度通盘考虑, 造成资源浪费、安全效果不佳等。因此, 建议城市轨道交通信息网络安全设计整体规划, 分步实施, 运用系统工程的观点、方法, 结合线网各线路的建设时序进行线网安全布局, 安全配置, 确保安全资源共享的实施, 降低建设投资、减少运营成本、指导后续线路信息网络安全建设。
6.3 安全措施及手段应尽量简单、灵活
当前, 信息网络的安全威胁有来自内部的, 也有来自外部的, 且在不停的演变, 而且还有愈演愈烈之势。面对各种安全威胁, 运维工程师会根据网络安全设施采取不同的安全措施及手段, 如果措施及手段过于复杂, 对运维工程师的要求过高, 其本身就降低了信息网络的安全性, 因此应简单, 灵活、容易操作。
6.4 多种安全技术相结合的原则
为了保证信息网络的安全性, 降低信息网络所面临的安全风险, 单一的安全技术是不够的, 因为任何安全保护措施都不是绝对安全的, 都可能被攻破。因此, 根据信息系统面临的不同安全威胁以及不同的防护重点和出发点采用多种安全技术相结合的保护系统, 各种技术保护相互补充, 当一种技术保护被攻破时, 其他保护技术仍可保护信息的安全。
7 结语
城市轨道交通规划部门应该结合城市布局整体规划、轨道系统与建设规划、城市轨道公安辖控规划, 优化各轨道交通线路及站点设置;城市轨道交通建设单位应结合信息技术的发展趋势, 在各线路建设阶段尽早考虑以后的扩容改造容量, 给系统硬件配置、软件设置、线缆预埋留有一定的裕量, 对各信息网、重要通信传输网制定统一的规划和协议, 以保证后续线路与现有轨道交通信息网的无碍互通。
参考文献
[1]青岚昊.RPR技术及其在城市轨道交通传送网应用[J].通信与信息技术, 2009 (2) :79-81.
[2]何宁, 李彬.城市快速轨道的网络分析和规划[J].城市规划汇刊, 1997;109:59~63.
[3]王忠强, 高世廉, 降金琦.轨道交通路网规划若干问题探讨[J].西南交通大学学报, 1999;34 (3) :369~373.
[4]王忠强, 高世廉.城市轨道交通路网形态分析方法[J].城市轨道交通研究, 1999;5:33~36.
网络伺服系统 第5篇
【中文摘要】在这个信息大爆炸的时代,相似度检测已经成为一个备受重视的课题。无论是检测论文的抄袭还是对相似内容文档的检索都需要该项技术的支持。近些年来,人们对文档分词技术、模型化技术、相似度计算算法的研究深入进行,在此基础上,对相似度检测的研究有了长足的发展同时也取得了令人欣慰的成绩。不过,截止到目前为止,我们发现仍然没有出现一个在算法效率和执行结果这两个衡量算法的关键指标上都能令人完全满意的算法。本文研究的范围是网络新闻的相似度检测,这是个很有实际意义的课题。在知识经济和互联网浪潮席卷全球的今天,我们发现人类的历史上从来没有任何一种事物能像现在的英特网这样对人们的工作和生活方式产生如此巨大而深远的影响。我国同样被这种浪潮所影响,近年来网民的增长速度和绝对数量均处于世界首位,与此同时我国的网络的发展程度与发达国家有明显的差距,这种差距最直接的表现就是网速和带宽的低下。我们发现这不仅仅是硬件的差距导致的,而与大量重复的网络新闻有直接关系。据调查我国很大一部分网民在上网的过程中只是简单的浏览网络新闻,但是我们知道现在网络新闻的重复率奇高,往往同一条新闻就有上百条的不同链接。网络新闻承载的信息量巨大,所以这些重复的新闻所...【英文摘要】In the era of information explosion, similarity detection has become a highlyimportant issue;either paper
plagiarism detection or retrieval of documents with similarcontent requires the support of this technology.In recent years, with the development ofthe document segmentation techniques, modeling techniques, similarity
calculationmethods, the study of similarity detection methods has had much more development andresearch results.However, so far, none of those algorithms has matched up our ordersaboutth...【关键词】网络新闻 检测 相似度
【英文关键词】NetworkNews Detection Similarity 【目录】网络新闻相似度检测系统4-6背景9状10-11
Abstract6-7
摘要
1.1 课题
第一章 绪论9-12
1.2 课题的意义9-101.3 国内和国外的研究现
第二2.2 分2.4 本章小
3.1 3.3 本第四
1.4 本文的组织结构及内容概要11-12
2.1 文档模型12-15
16-19
章 相似度检测技术12-20词技术15-16结19-20
2.3 相似度计算方法
第三章 需求分析与检测方法分析20-25
20-2122-24
3.2 需求分析21-223.4 本章小结24-254.1 系统概要设计
4.3 编码与实现第五章 总结与展望
系统要解决的难点文的相似度检测原理
章 系统设计与实现25-5325-3243-52
4.2 系统详细设计32-434.4 本章小结52-53
53-5555-60
5.1 总结53致谢
网络选课系统研究与实现 第6篇
关键词:教学教务管理 网络选课 BS模式
中图分类号:TP311.52文献标识码:A文章编号:1674-098X(2012)04(a)-0166-01
1 引言
自1969年ARPAnet网诞生到1990年更名为Internet,网络一直处于不停发展的过程中,主机和用户数都不断地增长,特别是进入90年代以来,网络应用进入多元化发展时期,视频点播、多媒体会议、电子商务等新型的应用不断出现,网络深入日常工作生活的各个方面。在高校实施学分制的大环境下,基于网络的在线选课系统是教学教务管理中不可或缺的重要功能模块,教学教务部门将课程和老师的信息公布在网上,学生利用网络完成相关课程的选择,学生可以自由选择,打破了原来学年制小班级的限制,比起原来学年制下直接安排教师进入各个班级的课程来说具有较好的灵活性和自由性。基于网络的选课系统作为计算机应用的一部分,使用计算机对选课信息进行管理,有着手工管理所无法比拟的优点,能够极大地提高教学教务管理的效率。
本文结合我校教学教务的要求对于选课系统中的功能做了详细分析,并由此提出了一个选课系统的实现。
2 系统分析
选课系统主要由用户管理部分,用来对系统管理员、教学教务人员、教师和学生四类用户进行;教学任务管理部分,用来管理各个学期的教学任务;选课管理部分,學生用来完成课程的选修,老师用来浏览选课的情况。整个系统结构如图1所示,下面将就主要功能模块做分析。
2.1 用户管理模块分析
管理员用户可以通过相关的用户名和密码登录进用户管理界面下。
在此界面下可以完成对教师、教学教务人员以及学生数据进行增删改、查找、授权等操作,例如将每年新入学的学生数据导入进系统,新分配的老师数据录入进入系统,分配不同的权限和功能给教师和教学教务人员。
2.2 教学任务管理模块分析
教学教务人员通过相关用户名和密码进入教学任务管理界面下。
在每学期结束前的一个月,教学教务管理人员将下个学期的所有课程预先根据培养计划生成教学任务,然后将相应的教学任务安排到具体的任课教师,并安排相应的教室和上课时间(此类功能属于排课管理子系统),任课教师便可登录选课系统查看自己的任务和上课时间地点。
2.3 选课管理模块分析
学生在规定时间登录进入选课管理界面下进行下个学期课程的选课。
选课分为初选和正选两个阶段,初选阶段是不限制选课班级的人数,也就是学生想选哪个老师的课程便可以选取,但往往某些课程的人数超过最大容量,之后基于一定的策略剔除掉一部分学生,在正选阶段这些学生可以选入其他班级,同时如果有漏选或者错选的学生也可以进行特殊修改。
3 系统实现关键技术
3.1 用户权限动态分配
考虑到不同的用户在该系统中需要有不同的权限,而权限最终又是通过映射到不同的菜单(功能)上来,所以在考虑本系统中用户权限分配的时候采用了动态的策略,即在数据库中采用一个菜单表用来存储体现不同权限的功能菜单项,然后每个菜单项还具有一个编号属性,在用户表将用户所具有权限对应的功能菜单项的编号保存,当不同用户登陆后根据菜单表中保存的菜单编号读取菜单项生成用户的操作菜单完成不同的功能。
3.2 选课管理
在初选阶段选课的人数将有可能超过班级人数的最大容量,这样势必会在初选结束后对多余的人员做出剔除。如何公平地剔除一些学生是一个需要考虑的问题,在本系统中采用的策略为综合考虑学习成绩和自然班学生的平均性作为剔除的权重因子。具体的执行的过程为:在所有需要选择该门课程的学生中,按照自然班统计其上一学年所学课程的平均学分积点作为划分不同档次的学生的一个参数,然后在按照自然班学生尽可能平均分配到各个选课班的原则可以得到每个档次的学生人数,这样在总人数超过的选课班中将不同档次的学生人数抽取出来后,如果发现超过该档次的人数容量,那么再随机剔除掉多余的学生,在随机剔除的过程中要考虑到不同自然班级人数的相对平均性,即优先剔除掉那些自然班级超编的学生;如果该档次的学生人数未达到要求,那么保留空间供正选阶段该档次的其他学生选入。同时在正选阶段也按照类似的策略保证选入的学生满足成绩和人数的平均性,这样每个班的学生情况相对来说比较平均,对于老师教学的开展比较有利。
4 结语
基于网络的选课系统给教学教务管理人员和学生提供了一个简易高效的平台,在学分制的管理背景下有利于学校教学教务管理的便利性和高效性,符合信息化新形势下的高校管理的要求。
参考文献
[1]叶飞.Internet网络选课系统设计与实现[J].沈阳师范大学学报(自然科学版),2004,4.
[2]米明.基于变化概率的网络选课系统算法研究[J].计算机与现代化,2009,12.
[3]邓万友,孟雅杰,贾焕军,宋英,刘洪波.学分制下网络选课系统的构想与实现[J].黑龙江高教研究,2001,1.
[4]关慧,由德凯,侯建梅.网上选课系统的设计与实现[J].沈阳化工学院学报,2004,4.
网络伺服系统 第7篇
近年来,网络控制系统(NCS)已成为控制理论界和工业应用领域的一个热点问题[1]。一些国际知名期刊相继出版了很多关于NCS的专刊[2,3,4,5,6],NCS也一直是控制、计算、通信、网络等诸多领域内许多国际会议的征文主题之一。针对网络控制系统的综述见文献[7,8,9,10,11]。然而,针对工业过程控制中广泛存在的一类特殊的网络控制系统,网络化串级控制系统(NCCS)[12,13]的分析和综合还有待系统深入的研究。
在网络控制系统和网络化串级控制系统中,采用网络来传输系统中的各种信息,可大大减少系统布线,降低系统成本,便于系统维护,提高系统的灵活性和可靠性。然而,在网络控制系统和网络化串级控制系统的控制回路中插入网络,也给它们的分析和综合带来了新的挑战,使得系统的分析和设计变得异常复杂。文献[14]将NCS中的网络诱导时延分别建模为常数时延、独立分布的时延和 Markov链,并研究了相应的控制器设计问题。文献[15]只考虑了有数据包丢失的NCS,建立了系统的模型并分析了其稳定性。文献[12]仅针对有时延的NCCS建立了系统的闭环模型,没有考虑数据包丢失。
本文提出了广义对象和广义控制器的概念,同时考虑了网络诱导时延和数据包丢失,采用增广状态向量法在离散时间域分别建立了网络控制系统和网络化串级控制系统统一的闭环模型。
2 广义对象和广义控制器
随着仪器仪表的发展,智能化现场设备如传感器、控制器和执行器一般都具有通信能力。在网络控制系统和网络化串级控制系统中,传感器和控制器都具有通信能力。以下分别定义了广义对象和广义控制器。为便于分析,作如下假定:①传感器、控制器、执行器均是时钟驱动的;②网络诱导时延是采样周期的整数倍,随机且有界的;③网络发生丢包的概率是固定的,且最大连续丢包数是1。
2.1 广义对象
广义对象包括被控对象P、传感器S以及发送传感信息的网络N,如图1所示。
考虑连续时间线性时不变对象P,其状态空间方程为:
undefined
采样周期为h,在一个采样周期内对其离散化得其离散时间状态空间方程为:
undefined
式中:Φ=eAh;Γ=∫undefinedeAsdsB。
假定网络诱导时延为ph,p=0,1,…,P,数据包在网络上的成功传输率为α,即当数据包成功传输时,α=1;当数据包丢失时,α=0。因此,网络模型可表示为:
w(k)=αy(k-p)+(1-α)y(k-p-1) (3)
联立式(2)和式(3),得到广义对象undefined如下:
undefined
式中:增广状态向量undefined;
讨论:p=0时,如果α=1,则有w(k)=y(k),即广义传感器中无网络,传感器将周期性地采集传感信息直接发送到控制器;如果α=0,则有w(k)=y(k-1),即广义传感器中的网络仅有丢包而无时延。p=1时,如果α=1,则有w(k)=y(k-p),即广义传感器中的网络仅有时延而无丢包;如果α=0,则有w(k)=y(k-p-1),即广义传感器中的网络同时存在时延和丢包。
2.2 广义控制器
在网络控制系统和网络化串级控制系统中,控制器一般都是由计算机在离散时间域实现的。广义控制器包括控制器C和发送控制信息的网络N,如图2所示。
考虑离散时间动态输出反馈控制器C,其状态空间方程为:
假定网络诱导时延为qh,q=0,1,…,Q,数据包在网络上的成功传输率为β,即当数据包成功传输时,β=1;当数据包丢失时,β=0。因此,此时网络模型可表示为:
v(k)=βu(k-q)+(1-β)y(k-q-1) (6)
联立式(5)和式(6),得到广义控制器undefined如下:
式中:增广状态向量undefined;
讨论:q=0时,如果β=1,则有v(k)=u(k),即广义控制器中无网络,控制器周期性地将计算出来的控制指令直接发送到执行器;如果β=0,则有v(k)=u(k-1),即广义控制器中的网络仅考虑了丢包。q=1时,如果β=1,则有v(k)=u(k-p),即广义控制器中的网络仅考虑了时延;如果β=0,则有v(k)=u(k-p-1),即广义控制器中的网络同时考虑了时延和丢包。
3 网络控制系统的统一建模
在一个典型的单回路控制系统中,有三个现场设备:传感器、控制器和执行器。传感器安装在现场,和被控对象直接连接,执行器接收控制器的控制指令驱动执行机构改变被控对象的状态。在现场总线控制系统(FCS)中,传感器和执行器具备计算和通信能力,控制器可内置于传感器中,也可内置于执行器中,此时网络的位置存在于控制器和执行器之间,或传感器和控制器之间;而在分散控制系统(DCS)中,控制器一般置于网络上其它的独立节点中,此时网络同时位于控制器和执行器之间,以及传感器和控制器之间。一般的网络控制系统如图3所示。
基于第2部分定义的广义对象和广义控制器,联立式(4)和式(7),得到网络控制系统统一的闭环系统模型为:
所建立的闭环系统模型表明,系统矩阵Ω与采样周期h有关,并取决于p,q,α,β的取值,同时存在时延和数据包丢失的网络控制系统是离散时间线性切换系统。
4 网络化串级控制系统的统一建模
在一个典型的网络化串级控制系统中,有三个现场设备:主变送器、副变送器和执行器。主变送器和主对象直接连接;副变送器和副对象直接连接;执行器接收控制器的控制指令驱动执行机构改变副对象的状态进而改变主对象的状态。由于现场设备都是智能的,具有存储计算功能,可将主控制器和副控制器任意置于这三个现场设备中,因此网络可能存在的位置有:主变送器S1和主控制器C1之间、主控制器C1和副控制器C2之间、副变送器S2和副控制器C2之间、副控制器C2和执行器A之间。一般的网络化串级控制系统的方框图如图4所示[16]。
以下针对图4所示的典型网络化串级控制系统进行分析和建模。基于第2部分提出的广义对象和广义控制器,图4可转化为图5所示的方框图,包括广义主控制器undefined、广义副控制器undefined、广义副对象undefined和广义主对象undefined。
图5中,广义主控制器undefined如图6所示。
考虑主控制器C1是离散时间动态输出反馈控制器,其状态空间方程为:
假定网络诱导时延为p1h,p1=0,1,…,P1,数据包在网络上的成功传输率为α1,即,当数据包成功传输时,α1=1;当数据包丢失时,α1=0。此时网络模型可表示为:
联立式(9)和式(10),得到广义主控制器:
undefined
广义副控制器undefined如图7所示。
考虑主控制器C2是离散时间动态输出反馈控制器,其状态空间方程为:
其输入为:
e2(k)=v1(k)-w2(k) (13)
假定网络诱导时延为p2h,p2=0,1,…,P2,数据包在网络上的成功传输率为α2,即当数据包成功传输时,α2=1;当数据包丢失时,α2=0。此时,网络模型可表示为:
v2(k)=α2u2(k-p2)+(1-α2)u2(k-p2-1) (14)
联立式(12)~式(14),得到广义副控制器:
广义副对象undefined如图8所示,副对象P2是连续时间线性时不变的,其状态空间方程为:
在一个采样周期h内对式(16)离散化得其离散时间状态空间方程为:
式中:
假定网络诱导时延为q2h,q2=0,1,…,Q2,数据包在网络上的成功传输率为β2,即当数据包成功传输时,β2=1;当数据包丢失时,β2=0。因此,网络模型可表示为:
w2(k)=β2y2(k-q2)+(1-β2)y2(k-q2-1) (18)
联立式(17)和式(18),得广义副对象:
广义主对象undefined如图9所示,考虑连续时间线性时不变主对象P1,其状态空间方程为:
在一个采样周期内对其离散化得其离散时间状态空间方程为:
式中:。
假定网络诱导时延为q1h,q1=0,1,…,Q1,数据包在网络上的成功传输率为β1,即当数据包成功传输时,β1=1;当数据包丢失时,β1=0。因此,网络模型可表示为:
w1(k)=β1y1(k-q1)+(1-β1)y1(k-q1-1) (22)
联立式(21)和式(22),得广义副对象:
联立式(11)、式(15)、式(19)和式(23),得网络化串级控制系统统一的闭环系统模型为:
ξTk+1=Ω ξTk (24)
式中:ξTk=undefined;
所建立的闭环系统模型表明,系统矩阵Ω不仅与采样周期h有关,还取决于p1,p2,q1,q2,α1,α2,β1,β2的取值。有时延和数据包丢失的网络化串级控制系统是离散时间线性切换系统。
5 结束语
网络教学系统网络安全的研究 第8篇
1 网络安全的新高要求
伴随网络的普及, 安全日益成为影响网络效能的重要问题, 而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时, 对安全提出了更高的要求。
2 安全要素
安全包括机密性、完整性、可用性、可控性以及可审性五个基本要素。
3 安全威胁
一般认为, 目前网络存在的威胁主要有:非授权访问;信息泄漏或丢失;破坏数据完整性;拒绝服务攻击。
4 网络安全措施
4.1 内外网隔离及访问控制系统
在内部网与外部网之间, 设置防火墙 (包括分组过滤与应用代理) 实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型, 但总体来讲有两大类较为常用:分组过滤、应用代理。分组过滤 (Packet filtering) :作用在网络层和传输层, 它根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到目的地出口端, 其余数据包则被从数据流中丢弃。应用代册 (application proxy) :也叫应用网官 (application gateway) , 它作用在应用层, 其特点是完全“阻隔”了网络通信流, 通过对每种应用服务编制专门的代理程序, 实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。
4.2 内部网不同网络安全域的隔离及访问控制
在这里, 防火墙被用来隔离内部网络的一个网段与另一个网段。这样, 就能防止影响一个网段的问题穿过整个网络传播。针对某些网络, 在某些情况下, 它的一些局域网的某个网段比另一个网段更受信任, 或者某个网段比另一个更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
4.3 网络安全检测
网络安全性分析系统网络系统的安全性取决于网络系统中最薄弱的环节。最有效的方法是定期对网络系统进行安全性分析, 及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件, 其功能是用实践性的方法扫描分析网络系统, 检查报告系统存在的弱点和漏洞。建议补求措施和安全策略, 达到增强网络安全性的目的。
4.4 审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程, 它是提高安全性的重要工具。它个仅能够以别谁访问了系统, 还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况, 审计信息对于确定问题和攻击源很重要。同时, 系统事件的记录能够更迅速和系统地识别问题, 并且它是后面阶段事故处理的重要依据。另外, 通过对安全事件的不断收集与积累并且加以分析, 有选择性地对其中的某些站点或用户进行审计跟踪, 以便对发现或可能产生的破坏性行为提供有力的证据。
因此, 除使用一般的网管软件和系统监控管理系统外, 还应使用目前以较为成熟的网络监控设备或实时入侵检测设备, 以便对进出各级局域网的常见操作进行其时检查、监控、报警和阻断, 从而防止针对网络的攻击与犯罪行为。
4.5 网络反病毒
由于在网络环境下, 计算机病毒有不可估量的威胁性和破坏力, 一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒技术: (1) 预防病毒技术:它通过自身常驻系统内存, 优先获得系统的控制权, 监视和判断系统中是否有病毒存在, 进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有:加密可执行程序、引导区保护、系统监控与读写控制 (如防病毒卡等) 。 (2) 检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术, 如自身校验、关键字、文件长度的变化等。 (3) 消毒技术:它通过对计算机病毒的分析, 开发出具有删除病毒程序并恢复原文件的软件。
4.6 网络备份系统
备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场地内高速度、人容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用, 也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用, 同时亦是系统灾难恢复的前提之一。
参考文献
[1]周学广, 等.信息安全学[M].北京:机械工业出版社, 2003.3.
[2] (美) Mandy Andress, 著.杨涛, 等, 译.计算机安全原理[M].北京:机械工业出版社, 2002.1.
检查系统及网络健康 第9篇
在Microsoft的服务器产品中, 绝大多数都会额外提供一个名为Best Practices Analyzer (BPA) 的健康诊断程序, 例如, Exchange Server。而在Windows Server与Active Directory部分, 在Windows Server2008以前大多是需要到官方网站来下载与安装的。如今的Windows Server 2008R2已经为每一个所安装的服务器角色, 内置了这项诊断工具。在开启了“服务器管理器”界面之后, 我们可以针对任一角色来单击位于页面Best Practices Analyzer区域中的“扫描这个角色”链接, 来开始对这个角色目前可能的警告性或严重性等问题进行诊断与报告。至于执行的时间长短, 决定于系统的性能与发现问题的多寡。
完成扫描之后, 会自动将侦测到的事件类型自动分类为不符合标准、已排除、符合标准以及全部四类, 其中“已排除”的类别部分默认是空的, 您需要选取自认为不重要的事件项目, 之后单击“排除结果”, 这样, 在下次扫描时这一些事件将会自动归类到“已排除”。
检查网络健康
在这个针对“Active Directory网域服务”扫描的结果中, 我们发现有列出错误以及警告的事件项目, 其中在警告部分主要是侦测到这个域控制器器已经超过八天没有备份了, 而备份的方法与工具事实上就通过“Windows Server Backup”来完成备份设定即可。另外两个警示信息, 则分别是告知我们域控制器 (DC) 最好要有两部以上以作为备援使用。另一个事件是建议我们必须将组织单位 (OU) 设定为避免意外删除, 这项功能只要在“Active Directory管理中心”界面中来设定即可。
在错误的警示部分则往往是我们需要特别留意与解决的问题, 可以将它连续单击之后开启完整信息页面。例如, 您可能会看到一个这样的错误信息, 提示我们在这部域控制器中, 目前并未设定时间同步的来源以及可能造成影响的问题, 您可以通过此页面中的“分辨率”信息来得知解决这个问题的方法。
网络化机载测试系统中网络性能测量 第10篇
网络性能测量方法
对于网络性能的测量可根据实施的技术分为主动检测与被动检测。主动检测的方式主要是将网络系统中的源节点向目标发送数据包, 根据网络节点的反馈速率以及数据包的传输状况来判断该节点的网络性能。被动检测的方式与主动检测相反, 是对于网络源节点按照相关的参数标准对该节点的网络数据包传输情况进行提取和分析, 按照该节点的网络传输以及性能进行分析。
主动检测的优势在于操作简单并且检测不会影响用户的数据使用, 能够在点到点的网络中进行较好的性能检测, 但是由于该方法需要向目标输入网络数据包, 因此会对网络造成压力影响网络性能的检测结果, 导致检测结果失去科学性以及实效性。被动检测的优点主要在于不会对源网络节点造成影响, 检测结果往往是真实的网络数据流量, 能够很好的检测网络的性能, 但是该检测方法会对用户在操作中的相关信息以及隐私造成威胁。文章主要针对网络化机载测试系统中的各项性能的真实性以及科学性进行研究, 并不涉及用户的隐私以及数据, 在综合两组检测方式的优缺点后, 文章使用的是被动检测网络性能测量。
机载测试系统中网络性能测量方式
1. 通过网络同步性与丢包率观察机载测试系统的性能
该方法有两种检测方式, 主要有硬件输出检测以及软件监控检测。硬件输出检测主要是对机载测试系统中的BCU的PPS秒脉冲进行相关的检测, 然后进行对比, 若PPS秒脉冲的差异超过500ns, 则同步性较弱;反之, 则同步性较高, 但是该方法需要使用示波器进行检测, 对操作的专业性要求高。而软件监控检测的方式主要是通过对网络数据包的传输情况进行提取, 对服务器向各机箱发送PTP的同步时间, 观察各机箱接收数据包的时间差异, 若T为1, 则表示同步率较低, 若T为0, 则表示同步率较高。丢包率主要是对网络传输数据的完整性进行检测。
2. 通过时间延迟观察机载测试系统的性能
影响系统的时间延迟的原因主要有ADC采样耗时、BCU打包耗时、网络传输耗时、交换机缓冲耗时、EBM侦听网络数据包并根据PCM位置提取相应码制的计算耗时以及BCU底层编码传输耗时等相关的因素影响。因此, 主要有数字量以及模拟量两种测量方式能够对时间延迟进行测量, 文章主要使用数字量方式进行检测。数字量主要是通过网络数据来分析PCM数据然后分析时钟同步报文, 首先使用时钟源对待1588 同步协议的网络主控交换机进行时间的输入, 然后主机输入网络记录器中, 并且传输到专用采集器 (电源、BCU、模拟量采集板卡 (ADC) 、EBM101、ENC106) 中最后录入遥测接收器中;而另一方面主机通过二级交换机输入数据采集单元1 (DAU) 中, 通过采集器传入数据采集单元n (电源、模拟量采集板卡 (ADC) 、BCUn) 中最终得到对网络数据实时检测的分析。
网络化机载测试系统中网络性能测量结果分析
1. 网络化机载测试系统的同步性
首先将各级机箱中进行数据交换, 然后对网络传输中50000 个数据包进行提取, 并将传输的时间参数进行记录, 而测量结果显示网络传输同步需要120s。若将主控机先打开后将二级交换机打开在进行各级机箱的传输, 并对网络传输中的50000 个数据包进行相同的方式检测, 则测量的结果为网络同步仅需5s, 这是由于主控机型与二级交换机能够为网络传输建立更多的传输渠道, 并且能够增加数量流量, 并且所花的时间较少。因此, 在网络化机载测试系统中, 需要先将主控交换机与二级交换机打开, 在进行各级机箱的数据传输。
2. 网络化机载测试系统的丢包率
若在机载网络测试对数据转换成UDP数据包进行传输, 并将主控机调至多播过滤模式时, 对网络传输中的500000 个数据包进行检验, 结果显示key字为3105 的UDP数据包在传输过程中每7 个序列号会出现一次丢包 (丢包率为0.01524%) ;而主控机关闭多播过滤模式后丢包率为0. 可能是由于当开启多播过滤模式时, 数据需要向两个目标传输, 因此会出现有规律的丢包。因此, 在网络化机载测试系统中, 对于多播过滤模式的需要进行科学的应用, 对于EBM网络数据传输时可以不使用多播过滤模式。
3. 网络化机载测试系统的时间延迟
通过上述数字量的方式对网络时间延迟进行检测, 发现在采样率为100Hz时, 延迟达到32ms, 当采样率为500Hz时, 延迟降低到12ms, 在采样率为1000Hz时, 延迟降低到9ms, 而采样率超过1000Hz之后, 延迟保持9ms不变。这说明了当采样率较低时, 延迟较高, 而采样率变高, 延迟会减小, 当采样率超过一定范围后, 延迟保持不变。因此, 在网络化机载测试系统中, 将主采集参数的传输优先于PCM帧或普通网络数据中, 辅采参数滞后于PCM帧或普通网络数据。
结束语
网络入侵检测系统研究 第11篇
网络;入侵检测系统;黑客软件
【作者简介】谭 卫(1984—)男,湖南涟源人,华南理工大学硕士毕业,中国民用航空中南地区空中交通管理局助理工程师。研究方向:电子信息化与网络安全。
1.入侵检测系统发展现状
A.入侵检测系统分类[1]
入侵检测系统有不同的分类方法:
按照采用技术不同,分为滥用检测系统和异常检测系统。
按照数据来源不同,分为基于主机的检测系统和基于网络的检测系统。
按照实现结构不同,分为单一、部分分布式以及完全分布式结构系统。
按照响应方式不同,分为被动响应和主动响应检测系统。
B.入侵检测系统面临的问题
检测性能方面:虚警和漏警问题从本质上讲难以避免,现有的入侵检测系统无法实现有效实现提高对新型攻击的检测率并降低虚警率的目标。
检测系统健壮性方面(鲁棒性):许多商用入侵检测系统会由于某些组件突然失败而导致整个检测系统功能丧失。
自适应方面:入侵检测系统面临的攻击是随着时间而变化的,因此入侵检测系统需要具有动态自适应性,能够既可以适应变化的入侵,而且能够容忍自身系统的变化。
2.基于免疫原理的入侵检测系统
A.免疫原理分析
免疫系统抵御外部入侵,使其机体免受病原侵害的应答反应叫做免疫。外部有害病原入侵机体并激活免疫细胞,诱导其发生反应的过程称为免疫应答。免疫应答分为固有免疫和获得性免疫。前者为机体先天获得,可对病原进行快速消除;后者为特异性识别并消除病原体,具有特异性、记忆、区分自我和非自我、多样性和自我调节等优良特性。诱导免疫系统产生免疫应答的物质称为抗原[2]。
在生物免疫系统中,最主要的机制就是区分自我和非自我。自我就是指自身的细胞;非自我是指病原体、毒性有机物和内源的突变细胞或衰老细胞。在此过程中,免疫细胞能对“非自我”产生免疫应答,来消除其对抗体的危害。但对“自我”则不产生应答,以保持体内环境动态稳定。免疫细胞通过自身的进化和相互作用实现了人类的免疫功能。免疫系统的工作过程总体上是由基因选择、负选择和克隆选择3阶段组成。在这3个阶段中,由于免疫系统不受其它器官的支配,也不需要预先了解特定信息,因此是自组织的。最后由于一个抗体可以识别多种抗原,因此是轻负荷的。
生物免疫系统的特点总结如下,这为构建健壮的计算机安全系统提供了重要基础。①分布性:数百万的淋巴细胞分布于整个生物系统,他们之间没有中央控制机制,是一种没有中心控制器的分布式自制系统,能有效处理问题的非线性自适应网络;②鲁棒性:生物免疫系统中各种组件是大量存在的,因此即使缺少这些组件的一小部分也不会对系统的功能有太大的影响;③自适应性:生物免疫系统是一个自组织的存贮器,且是动态地维持着。它能够适应外界环境的变化,通过学习对新的抗原做出识别和反应,并保留对这些抗原特征的记忆,以帮助下一次对抗原的反应。这些特征是完善的IDS系统所需具备的。因此人们希望通过应用生物免疫机理,构建更高效率的IDS系统,以改进目前IDS系统的性能。
B.基于免疫原理的网络安全研究现状
当前基于人工免疫的网络安全研究内容主要包括反病毒和抗入侵两个方面。当前较有代表性的工作有如下两个:其一是IBM公司的研究人员J.O.Kephart提出的用于反病毒的计算机免疫系统,其二是S.Forrest等人提出的可用于反病毒和抗入侵两个方面的非选择算法。
J.O.Kephart等人提出的计算机免疫系统:通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程,IBM公司J.O.Kephart等研究人员设计了一种计算机免疫模型和系统,用于计算机病毒的识别和清除。对已知病毒,该系统依据已知病毒特征和相应的病毒清除程序来识别和消灭计算机病毒。对未知病毒,该系统主要是设计“饵”程序来捕获病毒样本,在“饵”程序受感染后对其进行自动分析并提取病毒特征,设计相应的病毒清除程序。当计算机发现并分析了未知病毒特征时,可将所产生的病毒特征和宿主程序恢复信息传播到网上邻近计算机中,从而使得网络上的其它计算机很快就具有了对付该病毒的能力。该原型系统可以是一个病毒自动分析系统,它是从结构和功能上来模拟生物免疫系统,而没有深入研究生物免疫系统完成这些功能的具体机制并建立和设计相应的模型和算法。
负选择算法:S.Forrest等人在分析T细胞产生和作用机制的基础上,提出了一个负选择算法。T细胞在成熟过程中必须经过阴性选择,使得可导致自身免疫反应的T细胞克隆死亡并被清除,这样,成熟的T细胞将不会识别“自我”,而与成熟T细胞匹配的抗原性异物则被识别并清除。负选择算法是一个变化检测算法,具有不少优点,但它不是一个自适应学习算法。负选择算法自提出后就受到众多研究人员的关注并对其进一步研究。目前,在负选择算法和免疫系统中的学习机制相结合方面已有了一定的进展。
其它:以上仅仅是两个较有影响的工作,此外还有其它很多具有相当影响的相关模型、算法和原型系统,如R.E.Marmelstein等人提出的用于反病毒的计算机病毒免疫分层模型和系统,D.Dasgupt等人提出的基于免疫自主体的入侵检测系统框架等。
C.基于免疫原理的入侵检测一般模型
检测环境的描述:U代表本地主机和网络系统中的所有模式的集合。U被分为两部分:self集合S和non-self集合N。S、N满足S∪N=U并且S∩N=U。
入侵检测问题的描述:s∈U,判断s∈S or s∈N。
人侵检测系统的描述:D代表入侵检测系统D=(f,M),其中M∈U代表D的检测规则集。f代表判定函数,f:U*€譛→{normal,anomalous),即
误报、漏报问题的描述:人侵检测系统可能产生的错误有两类,一类是虚警(False Positive),另一类是漏警(False Negative)。定义试验集Utest,UtestU。令Stest=S∩Utest,Ntest=N∩Utest,则由S∪N=U, S∩N=U可知Stest∪Ntest=Utest并且Stest∪Ntest= 。如果s∈Stest,且f(M,s)=anomalous,则称发生虚警错误,如果s∈Ntest,且f(M,s)=normal,则称发生漏警错误。
入侵检测问题从本质上来说是模式检测问题,以比较小的代价从海量数据中检测出异常数据。生物免疫正是具备这种高效的检测能力,其基因变异、免疫耐受、克隆选择和记忆细胞等原理能够保持机体动态平衡。
人工免疫系统的一般性工程框架[3]如下图1所示,分别为表示层、亲和力定义和免疫算法层。首先将工程中需要计算的对象正确表达出来,包括抗原與抗体的定义,接着定义抗原与抗体之间的亲和力,最后选择合适的免疫算法进行计算。
图1 人工免疫系统的工程框架
在入侵检测领域,以上工程框架可以映射为模式表达、匹配规则定义和检测算法三个过程。首先是模式表达,我们需要将要检测的目标对象表达为合适的抗原和抗体模型,比如我们可以将网络数据包所包含的地址端口等关键信息表达为长二进制串[4],将进程的系统调用序列表达为短二进制串。接着根据检测对象的不同,选择更合适的亲和力计算方法,比如网络数据包的异常检测可以采用r连续海明距离匹配规则,而系统调用的异常检测可以采用变种的欧拉距离匹配规则。最后是免疫算法的选择,针对入侵检测的各个阶段采用不同的免疫算法,比如检测模式抗体库的产生阶段通常采用否定选择算法,而检测阶段则采用克隆选择算法,若进行大规模网络检测则选择免疫网络模型。
以上三个过程实际上也包含了人工免疫原理应用丁入侵检测系统中的难点所在,首先是模式表达的确定,如何选择合适的关键数据作为检测的模式基础是首要问题,接着是检测指令系统的构建问题,用于检测的抗体库如何优化产生以及如何向低抗体总数的高覆盖率进化,然后就是快速匹配算法的设计问题,如何定义合适的亲和力表达直接涉及到检测率和检测性能。最后是免疫算法的合适问题,如何合理地选择应用免疫系统原理到人侵检测的各个阶段。
同时应该充分考虑到已经取得辉煌成就的生物学其他一些原理。比如利用遗传算法可以解决入侵检测系统的数据优化问题、利用神经网络解决入侵检测系统中的模式识别问题以及利用模糊规则来解决入侵发生后系统的控制问题等等。
本文首先介绍了网络安全的背景知识,然后在分析入侵检测系统面临巨大的挑战后,提出了一种基于免疫原理的入侵检测系统。
第三章是本文的主要内容,里面比较详细地介绍了免疫原理的特点及其应用于入侵检测系统的优点。在了解了目前该方面的研究工作后,本文接着描述了一种基于免疫原理的入侵检测基本模型。
该章重点介绍了一般人工免疫系统的工程框架,并在此基础上,入侵检测领域可以映射为模式表达、匹配规则定义和检测算法三个过程。最后分析了这几个过程中的关键技术以及未来发展可以借鉴的其他理论。
[1]闫 巧.基于免疫机理的入侵检测系统研究.西安电子科技大学.2003
[2]王宝进,薛 娟.基于生物免疫原理的网络入侵检测系统.计算机工程与设计.2006
[3]陈云芳,王汝传.基于免疫学的入侵检测系统一般模型.南京邮电大学.2006
[4]Forrest S, Perelson S. Self-nonself discrimination in a computer. In Proceedings of the IEEE Symposium on Research in Security and Privacy. pp.202-212,1994.
[5]朱永宣,单 莘,郭 军.基于免疫算法的入侵检测系统特征选择.微电子学与计算机.2007
[6]丁冠华,闫 军,王晓然.基于人工免疫的入侵检测系统.计算机与信息技术.2006
网络伺服系统 第12篇
防火墙技术是保护校园网络安全的一个重要技术, 但防火墙不能发现攻击, 特别是对来自网内的威胁无能为力。因此, 有必要采用入侵检测系统来构建安全的数字化校园网。
(一) 校园网常见攻击手段
当前校园网的入侵方法、攻击手段多种多样。有的是寻找并利用操作系统的漏洞进行入侵和攻击, 有的是利用应用程序的漏洞进行入侵和攻击, 有的是利用网络协议漏洞进行入侵和攻击。校园网络系统常见攻击手段有:
1. 服务拒绝型攻击
拒绝服务攻击通常是以消耗服务器资源、迫使服务停止响应为目标, 通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞, 从而使正常的用户请求得不到应答, 以实现其攻击目的。拒绝服务攻击通常能够以较小的资源耗费代价导致目标主机很大的资源开销。特别是分布式拒绝服务攻击, 通过控制多台傀儡主机策划进攻, 加强了攻击的破坏性, 甚至可以造成网络设备的瘫痪。
2. 利用型攻击
利用型攻击是一类试图直接对机器进行控制的攻击, 最常见的有三种:
(1) 口令入侵:如果入侵者识别了一台主机并且发现了基于NetBIOS, Telnet或NFS等服务可利用的用户帐号, 成功的口令猜测能提供对机器的控制。
(2) 特洛伊木马:特洛伊木马是一种或是由黑客, 或是由不令人起疑的用户秘密安装到目标系统的程序。攻击者安装木马程序成功后可以直接远程控制目标系统。
(3) 缓冲区溢出:缓冲区溢出攻击指利用目标程序的缓冲区溢出漏洞, 通过操作目标程序堆栈并暴力改写其返回地址, 从而获得目标控制权。攻击者获得目标控制权就可以运行恶意代码, 执行任意指令, 甚至获得超级权限等。
3. 信息收集型攻击
入侵者在攻击网络系统之前, 对系统进行全面扫描, 以发现一些有用的信息, 称信息收集性攻击。
4. 假消息攻击
假消息攻击利用网络协议设计中的缺陷, 通过发送伪造的数据包达到欺骗目标, 实现消息或数据的伪造或替换。
5. 路由协议攻击
路由协议攻击是指攻击者利用路由协议的一些缺陷实施对网络系统进行攻击。这种攻击可能造成网络设备路由表紊乱, 网络设备资源大量消耗。
(二) 入侵检测系统
1. 入侵检测系统基本概念
入侵检测技术就是通过从计算机网络或系统若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软、硬件的组合就是入侵检测系统 (Intrusion Detection System, 简称IDS) 。
入侵检测系统可以识别黑客常用入侵与攻击手段, 检测其它安全措施未能阻止的攻击或安全违规行为, 监控网络异常通信, 鉴别对系统漏洞及后门的利用, 帮助管理员诊断网络中存在的安全弱点, 完善网络安全管理和显著提高网络安全的管理。
2. 入侵检测系统的类型
(1) 根据检测分析技术分类: (1) 滥用检测。滥用检测是对利用己知的系统缺陷和己知的入侵方法进行入侵活动的检测。滥用检测运用已知攻击方法, 根据已定义好的入侵模式, 通过判断入侵模式是否出现来进行检测。 (2) 异常检测。异常检测也称非规则检测。异常入侵由用户的异常行为和对计算机资源的异常使用产生。异常检测需要建立目标系统及其用户的正常活动模型, 然后基于这个模型对系统和用户的实际活动进行审计, 以判定用户的行为是否对系统构成威胁。
(2) 根据数据来源分类: (1) 基于主机的入侵检测系统
基于主机的入侵检测系统从主机服务器上采集数据, 包括操作系统日志、系统进程、文件访问和注册表访问等信息。主机型入侵检测系统保护的一般是所在的系统, 它经常运行在被监测的系统之上, 用以监测系统正在运行的进程是否合法。 (2) 基于网络的入侵检测系统。基于网络的入侵检测系统担负着保护整个网段的任务, 它的数据源是网络上的数据包。它被放置在比较重要的网段内, 不占用网络资源, 不停地监视网段中的各种数据包, 对每一个数据包或可疑的数据包进行特征分析, 如果数据包与入侵检测系统内置的某些规则吻合, 入侵检测系统就会发出警报甚至直接切断网络连接。 (3) 分布式入侵检测系统。基于主机和基于网络的入侵检测系统都有不足之处, 而它们优缺点是互补的, 因此现代入侵检测系统的发展趋势是把基于主机和基于网络这两种检测技术很好的集成起来, 构成一个基于上述两种数据来源的混合式的检测系统, 称其为分布式入侵检测系统。分布式入侵检测系统可使整个入侵检测系统防御体系更健全, 功能更强大。
(三) 网络入侵检测系统在校园网的应用
1. 网络入侵检测系统工作原理
网络入侵检测系统通过实时检测网络状态, 把捕获的数据包进行重组、分析, 成为能被识别的信息, 然后根据特征库中的规则来判断是否存在网络入侵行为。
网络入侵检测系统处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告及响应阶段等四个阶段。数据采集阶段是数据审核阶段, 作用是收集目标系统中引擎提供的主机通讯数据包和系统使用等情况。数据处理及过滤阶段是把采集到的信息转换为可以识别是否发生入侵的数据。入侵分析及检测阶段通过分析数据处理及过滤阶段提供的数据来判断是否发生入侵。报告及响应阶段对入侵分析及检测阶段进行的判断做出响应, 如果被判断为发生入侵, 系统将对其采取相应的响应措施, 或者通知管理人员发生入侵, 以便于采取措施。
网络入侵检测系统是用检测网络数据流的办法来检测入侵的, 所以它只能提供对某一局部的保护, 通常把它放置在网络中的如下位置:
(1) 位于网络的非军事区, 用于保护防火墙。
(2) 位于Intranet中的每个关键网段, 用来检测来自内部的可疑行为。
(3) 位于防火墙里面, 用来监视防火墙, 以确保没有透过防火墙的有害行为。
(4) 用于监视重要的、比较敏感数据的主机。
2. 网络入侵检测系统在校园网络的配置和工作流程
(1) 编写规则
根据入侵检测系统所期望实现的作用, 将一些规则编写至入侵检测系统特征库中。
(2) 数据采集及处理
首先对收集到的数据报进行解码, 然后调用预处理函数对解码后的报文进行预处理, 再利用规则树对数据报进行匹配。在规则树匹配的过程中, 入侵检测系统从上到下依次对规则树进行判断, 从链首、链表到规则头节点, 一直到规则选项节点。
(3) 入侵分析及检测
入侵检测系统从网络中读取一个数据包后按照下面方式进行攻击分析及检测: (1) 从数据包的第一个字节开始提取与特征库中攻击特征串等长的一组字节比对, 如果两组字节相同, 则视为检测到一次攻击;如果两组字节不同, 则从数据包的第二个字节开始提取与攻击特征串等长的一组字节比对。 (2) 比对过程重复进行, 每次后移一个字节直到数据包的每个字节都比对完毕, 最后将数据包与特征库中下一个攻击特征串进行匹配。 (3) 重复进行直到匹配成功, 或匹配到特征库中最后一个攻击特征串依然没有结果为止, 然后从网络中读取下一个数据包进行另一次检测。
从上面过程可以看到, 入侵分析及检测过程就是对从网络上捕获的每一个数据包和编写在特征库中的规则进行匹配的过程。如果发现存在一条规则匹配的报文, 就表示检测到一个攻击, 然后按照规指定的行为进行处理 (如立即切断这个IP的访问请求, 或发送警告等) , 如果搜索完所有的规则都没有找到匹配的规则, 就表示数据包是正常的。
(4) 报告以及响应
收集来自于入侵分析及检测模块发来的信息, 显示和发出警报。
为了更有效地检测校园网络系统的内部攻击和外部攻击, 应在每个需要受保护的网络内安装相应的入侵检测系统。当有内部网络攻击时, 入侵检测系统向网络管理人员发出报警, 让网管人员及时做出反应。当有外部网络攻击时, 入侵检测系统可以通过专用响应模式实现与防火墙进行联动操作, 即入侵检测系统将实时检测到的攻击信息交给防火墙, 由防火墙对这些攻击进行控制、隔离、断开。
3. 在校园网系统安装网络入侵检测系统的优点
(1) 通过检测和记录网络中的安全违规行为, 惩罚网络犯罪, 防止网络入侵事件的发生, 减少入侵攻击所造成的损失。
(2) 检测黑客在攻击前的探测行为, 检测到入侵攻击时, 预先给管理员发出警报, 报告计算机系统或网络中存在的安全威胁, 并利用报警与防护系统驱逐入侵攻击。
(3) 提供有关攻击的信息, 帮助管理员诊断网络中存在的安全弱点, 以便于对网络系统进行修补。
(4) 在被入侵攻击后, 收集入侵攻击的相关信息, 作为防范系统的规则, 添加入特征库内, 增强系统的防范能力, 避免系统再次受到入侵, 从而使校园网络系统隐患降至较低限度。
(四) 结束语
校园网络安全是计算机应用领域的一个研究课题, 入侵检测技术是解决校园网络安全的一个有力的措施, 也是一个新的研究课题。随着数字化校园网的高速发展, 网络安全涉及的方面会越来越广, 入侵检测系统的设计和应用也会更具挑战性。
随着入侵检测技术和网络安全需求的发展, 入侵检测系统会向分布式入侵检测系统、智能化入侵检测系统和全面的安全防御方面发展。
参考文献
[1]黄鑫, 沈传宁, 吴鲁加.网络安全技术教程——攻击与防范[M].北京:中国电力出版社, 2002.
[2]王国伟, 等.基于防火墙的网络入侵检测研究与设计[J].计算机与数字工程, 2005 (5) :127-130.
[3]蔡立斌, 等.入侵检测技术在数字化校园网中的应用[J].现代计算机, 2005 (10) :52-55.